Yanluowang 랜섬웨어

전례 없는 랜섬웨어 위협을 배포하는 고도로 표적화된 새로운 공격 작전이 infosec 연구원에 의해 밝혀졌습니다. 위협적인 작전의 대상은 아직 공개되지 않았지만 유력한 대형 조직으로 설명되고 있다. 이 위협의 이름은 암호화하는 파일을 표시하는 데 사용하는 확장명을 따서 Yanluowang Ransomware로 명명되었습니다. 확장된 기능 목록을 보유하고 있지만 사이버 보안 전문가의 연구 결과에 따르면 Yanluowang Ransomware는 아직 개발 단계에 있으며 앞으로 더 위협적일 수 있습니다.

환경 준비

랜섬웨어가 손상된 시스템에 전달되기 전에 공격자는 AdFind라는 합법적인 명령줄 Active Directory 쿼리 도구를 악용합니다. 이 특정 도구는 사이버 범죄자들이 침해된 네트워크 내에서 측면으로 이동하는 방법으로 종종 남용됩니다.

Yanluowang 공격의 다음 단계는 손상된 컴퓨터의 환경을 준비하는 것입니다. 해커는 세 가지 주요 작업을 수행하는 특수 도구를 배포합니다. 먼저 명령줄을 통해 확인할 원격 컴퓨터의 수를 포함하는 텍스트 파일을 만듭니다. 그런 다음 합법적인 WMI(Windows Management Instrumentation)를 사용하여 텍스트 파일에 나열된 시스템에서 실행 중인 모든 프로세스의 목록을 얻습니다. 마지막으로 'processes.txt' 파일에 원격 시스템의 이름과 함께 모든 프로세스를 저장합니다.

Yanluowang Ransomware의 기능

랜섬웨어 위협은 이러한 유형의 위협에서 예상되는 일반적인 유해 기능을 모두 갖추고 있습니다. 강력한 알고리즘으로 감염된 시스템의 파일을 잠그는 암호화 프로세스를 시작합니다. 잠긴 각 파일에는 원래 이름에 '.yanluowang'이 추가됩니다. 그러나 위협 요소는 암호화를 시작하기 전에 두 가지 준비 작업을 수행합니다. 랜섬웨어 위협은 감염된 컴퓨터에서 실행 중인 모든 하이퍼바이저 가상 머신을 종료합니다. 그런 다음 'processes.txt' 파일을 살펴보고 SQL과 백업 및 데이터 보호 솔루션 Veeam을 포함하여 여기에 나열된 모든 프로세스를 종료합니다. 위협에 의해 수행되는 마지막 단계는 피해자에 대한 지침과 함께 몸값을 제공하는 것입니다.

랜섬 노트의 세부 정보

메모는 해커가 단순히 피해자의 파일을 잠그고 잠재적인 복구를 위해 돈을 갈취하는 것으로 만족하지 않는다는 것을 보여줍니다. 요구 사항이 충족되지 않으면 사이버 범죄자는 피해자에 대한 DDoS(분산 서비스 거부) 공격을 시작할 준비가 되어 있으며 해당 기업의 직원 및 비즈니스 파트너에게 전화를 걸고 마지막으로 몇 주 안에 또 다른 공격을 수행할 것이라고 말합니다. 피해자의 모든 데이터를 삭제합니다. 또한 Yanluowang Ransomware 노트는 방대한 양의 개인 데이터가 이미 수집되었다고 주장합니다.